5.3.2.4. Nuage SDN
Nuage Networks의 SDN 솔루션은 OpenShift Container Platform 클러스터의 Pod에 확장성이 뛰어난 정책 기반 오버레이 네트워킹을 제공합니다. Nuage SDN은 Ansible 기반 설치 절차의 일부로 설치 및 구성할 수 있습니다. Nuage SDN을 사용하여 OpenShift Container Platform을 설치하고 배포하는 방법에 대한 자세한 내용은 고급 설치 섹션을 참조하십시오.
Nuage Networks 는 VSP(가상화된 서비스 플랫폼)라는 확장성이 뛰어난 정책 기반 SDN 플랫폼을 제공합니다. Nuage VSP는 데이터 플레인용 오픈 소스 Open vSwitch와 함께 SDN 컨트롤러를 사용합니다.
Nuage는 오버레이를 사용하여 OpenShift Container Platform과 VM 및 베어 메탈 서버로 구성된 다른 환경 간에 정책 기반 네트워킹을 제공합니다. 플랫폼의 실시간 분석 엔진을 사용하면 OpenShift Container Platform 애플리케이션에 대한 가시성과 보안 모니터링이 가능합니다.
Nuage VSP는 OpenShift Container Platform과 통합되어 DevOps 팀이 직면한 네트워크 지연을 제거하여 비즈니스 애플리케이션을 신속하게 켜고 업데이트할 수 있습니다.
그림 5.1. OpenShift Container Platform과 Nuage VSP 통합
통합을 담당하는 두 가지 특정 구성 요소가 있습니다.
- OpenShift Container Platform 마스터 노드에서 별도의 서비스로 실행되는 nuage-openshift-monitor 서비스입니다.
- 클러스터의 각 노드에서 OpenShift Container Platform 런타임에 의해 호출되는 vsp-openshift 플러그인입니다.
Nuage Virtual Routing and Switching software (VRS)는 오픈 소스 Open vSwitch를 기반으로 하며 데이터 경로 전달을 담당합니다. VRS는 각 노드에서 실행되며 컨트롤러에서 정책 구성을 가져옵니다.
Nuage VSP 용어
그림 5.2. Nuage VSP 빌드 블록
- 도메인: 조직에는 하나 이상의 도메인이 포함되어 있습니다. 도메인은 단일 "계층 3" 공간입니다. 표준 네트워킹 용어에서 도메인은 VRF 인스턴스에 매핑됩니다.
- 영역: 영역은 도메인 아래에 정의됩니다. 영역은 네트워크의 어떤 항목에도 매핑되지 않지만, 대신 정책이 연결된 개체 역할을 하며 영역의 모든 엔드포인트가 동일한 정책 집합을 준수하도록 합니다.
- 서브넷: 서브넷은 영역에 정의되어 있습니다. 서브넷은 도메인 인스턴스 내의 특정 계층 2 서브넷입니다. 서브넷은 도메인 내에서 고유하며 고유합니다. 즉, 도메인 내의 서브넷은 표준 IP 서브넷 정의에 따라 중복되거나 다른 서브넷을 포함할 수 없습니다.
- VPort: VPort는 더 세분화된 구성을 제공하기 위한 도메인 계층 구조의 새로운 수준입니다. 컨테이너 및 VM 외에도 VPort는 베어 메탈 서버, 어플라이언스 및 레거시 VLAN에 연결을 제공하는 호스트 및 브리지 인터페이스를 연결하는 데도 사용됩니다.
- 정책 그룹: 정책 그룹은 VPort 컬렉션입니다.
구조 매핑
많은 OpenShift Container Platform 개념에 는 Nuage VSP 구성 요소와 직접 매핑됩니다.
그림 5.3. Nuage VSP 및 OpenShift Container Platform 매핑
Nuage 서브넷은 OpenShift Container Platform 노드에 매핑되지 않지만 특정 프로젝트의 서브넷은 OpenShift Container Platform의 여러 노드를 확장할 수 있습니다.
OpenShift Container Platform에서 생성된 Pod는 VSP에서 생성되는 가상 포트로 변환됩니다. vsp-openshift 플러그인은 VRS와 상호 작용하고 VSC를 통해 VSD에서 해당 가상 포트에 대한 정책을 가져옵니다. 정책 그룹은 동일한 정책 집합을 적용해야 하는 여러 포드를 함께 그룹화하도록 지원됩니다. 현재 포드는 VSD의 관리 사용자가 정책 그룹을 생성하는 작업 워크플로 를 사용하여 정책 그룹에만 할당할 수 있습니다. 정책 그룹의 일부인 포드는 포드 사양의 nuage.io/policy-group 라벨을 통해 지정합니다.
통합 구성 요소
Nuage VSP는 다음 두 가지 주요 구성 요소를 사용하여 OpenShift Container Platform과 통합됩니다.
- nuage-openshift-monitor
- vsp-openshift plugin
nuage-openshift-monitor
Nuage-openshift-monitor 는 OpenShift Container Platform API 서버를 모니터링하여 프로젝트, 서비스, 사용자, 사용자 그룹 등을 생성하는 서비스입니다.
여러 마스터가 있는 HA(고가용성) OpenShift Container Platform 클러스터의 경우 nuage-openshift-monitor 프로세스는 모든 마스터에서 기능을 변경하지 않고 독립적으로 실행됩니다.
개발자 워크플로의 경우 nuage-openshift-monitor 는 OpenShift Container Platform 구문을 VSP 구성에 매핑하도록 VSD REST API를 실행하여 VSD 오브젝트를 자동으로 생성합니다. 각 클러스터 인스턴스는 Nuage VSP의 단일 도메인에 매핑됩니다. 따라서 특정 기업은 잠재적으로 여러 개의 클러스터 설치(숫자 내 해당 엔터프라이즈에 대한 도메인 인스턴스당 하나)를 설치할 수 있습니다. 각 OpenShift Container Platform 프로젝트는 Nuage VSP에 있는 클러스터 도메인의 영역에 매핑됩니다. nuage-openshift-monitor 는 프로젝트의 추가 또는 삭제가 표시될 때마다 해당 프로젝트에 해당하는 VSDK API를 사용하여 영역을 인스턴스화하고 해당 영역에 서브넷 블록을 할당합니다. 또한 nuage-openshift-monitor 는 이 프로젝트에 대한 네트워크 매크로 그룹도 만듭니다. 마찬가지로 nuage-openshift-monitor 는 서비스의 추가 ordeletion을 볼 때마다 서비스 IP에 해당하는 네트워크 매크로를 생성하고 해당 프로젝트의 네트워크 매크로 그룹에 해당 네트워크 매크로를 할당합니다(레이블을 사용하여 사용자 제공 네트워크 매크로 그룹도 지원됨) 해당 서비스에 대한 통신을 활성화합니다.
개발자 워크플로의 경우 영역 내에 생성된 모든 포드는 해당 서브넷 풀에서 IP를 가져옵니다. 서브넷 풀 할당 및 관리는 master -config 파일의 몇 가지 플러그인 특정 매개 변수를 기반으로 nuage-openshift-monitor 를 통해 수행됩니다. 그러나 실제 IP 주소 확인 및 vport 정책 확인은 프로젝트가 생성될 때 인스턴스화되는 도메인/영역을 기반으로 VSD에서 계속 수행됩니다. 초기 서브넷 풀이 소모되면 nuage-openshift-monitor 가 클러스터 CIDR에서 추가 서브넷을 만들어 지정된 프로젝트에 할당합니다.
작업 워크플로의 경우 사용자는 애플리케이션 또는 Pod 사양에서 Nuage recognized 라벨을 지정하여 Pod를 특정 사용자 정의 영역 및 서브넷으로 확인합니다. 그러나 nuage-openshift-monitor 를 통해 개발자 워크플로를 통해 생성된 영역 또는 서브넷의 Pod를 확인하는 데 사용할 수 없습니다.
운영 워크플로에서 관리자는 포드를 특정 영역/서브넷에 매핑하고 OpenShift 엔터티(ACL 규칙, 정책 그룹, 네트워크 매크로 및 네트워크 매크로 그룹) 간 통신을 허용하는 VSD 구성을 사전 생성합니다. Nuage 라벨 사용 방법에 대한 자세한 내용은 Nuage VSP Openshift Integration Guide를 참조하십시오.
vsp-openshift Plug-in
vsp-openshift 네트워킹 플러그인은 각 OpenShift Container Platform 노드의 OpenShift Container Platform 런타임에 의해 호출됩니다. 네트워크 플러그인 init 및 Pod 설정, 해제 및 상태 후크를 구현합니다. vsp-openshift 플러그인은 포드의 IP 주소 할당도 담당합니다. 특히 VRS(전달 엔진)와 통신하고 Pod에 IP 정보를 구성합니다.
